Sprechen Ihre »Traffic-Allowed«-Logs mit Ihnen?: Praxis: Log-Files von Firewall-Systemen auswerten

Log-Files sind selbst für erfahrene IT-Spezialisten nicht einfach auszuwerten. Zu den noch verständlichsten Log-Files gehören Traffic-Allowed-Logs, kurz TAL. Sie werden von Firewalls generiert. Wir zeigen, welche wertvollen Informationen diese Log-Dateien zum Sicherheitsstatus eines Netzwerks liefern.

Traffic-Allowed-Logs sind die gängigsten, umfangreichsten - und am häufigsten übersehenen Log-Files. Die dokumentieren alle Aktivitäten im Netzwerk, und zwar sowohl erlaubte als auch verbotene.

Bekannt sind Traffic-Allowed-Logs auch unter Begriffen wie »build…connection«, »packet accepted« oder »access-list…permitted«.

Grundsätzlich produzieren Firewall-Systeme zu allen akzeptierten Netzwerkverbindungen Logs. Deshalb können sie eine Menge Details zum ein- und ausgehenden Netzverkehr liefern. Sie eignen sich daher dazu, folgende grundlegende Anforderungen bezüglich der IT Sicherheit zu erfüllen:

  • Bestätigung böswilliger Aktivitäten,
  • Ermitteln von Richtlinienverletzungen, Missbrauch oder Umgehung von internen Kontrolleinrichtungen,
  • Erkennen von Denial-of-Service-Angriffen (DoS) oder einer ungewöhnlichen Anzahl von Verbindungen,
  • Identifizieren von verdächtigen Verbindungszielen,
  • Erstellen von Trendberichten zu Netzaktivitäten sowie
  • Optimieren von Regeln für verbesserte Netzwerkleistung.

Bestätigung böswilliger Aktivitäten

Zum ersten Punkt: Entweder zeigt es sich anhand von Forensik-Analysen des IT-Netzes nach einem erfolgtem Angriff oder aber während der Echtzeit-Korrelationen von Ereignissen: TAL können dazu genutzt werden, bestimmte Verbindungen zu bestätigen.

In Verbindung mit Intrusion-Detection-Systemen lassen sich damit Aktivitäten von spezifischen IP-Adressen verfolgen. Wird zusätzlich ein Closed-Loop-Prozess durchgeführt, können Ereignisse sogar rekonstruiert werden.

Anhand dieser Informationen wiederum kann der IT-Manager feststellen, ob eine Alarmmeldung berechtigt oder »false-positive« war.

Richtlinienverletzungen erkennen

Auch wenn es um die Verletzung von Richtlinien oder den Missbrauch beziehungsweise das Umgehen von internen Kontrolleinrichtungen geht, liefern Traffic-Allowed-Logs wertvolle Daten.

Sie erfassen Protokolle oder Services, die eigentlich blockiert werden sollten, aber dennoch die Firewall passiert haben. Dazu gehören beispielsweise Instant-Messaging-Services oder Peer-to-Peer-File-Sharing- Anwendungen.

TALs helfen dabei, Richtlinien-Verletzungen zu erkennen, etwa illegales Filesharing oder Instant-Messaging.

Als Ergänzung zu den Filterrichtlinien der Firewall ist es mithilfe von TALs möglich, den Missbrauch von Produktionsservern zu erkennen. So zeigt ein TAL Traffic von kritischen Windows-Controller-Servern an, wenn diese kein Windows-verwandtes Protokoll nutzen wie etwa AD (Active Directory), DNS (Domain Name System), Kerberos (Standardprotokoll für die Authentifizierung unter Windows) oder LDAP (Lightweight Directory Access Protocol).

Auf die gleiche Weise lassen sich ausgehende Verbindungen von E-Mail-Servern kontrollieren, die nicht SMTP, POP3 oder IMAP verwenden. Darüber hinaus helfen TAL bei der Suche nach illegalen Mail-Servern, wenn bekannt ist, dass SNMP-Verkehr (Simple Network Management Protocol) nur von einer bestimmten Anzahl von Geräten ausgehen kann.

Übersicht